Ransomware Sarcoma

Un nuevo grupo de ransomware llamado Sarcoma se ha puesto en la mira, pues, ha cobrado numerosas víctimas desde su primera aparición en octubre.

Sarcoma se detectó por primera vez a inicios de octubre de 2024. Desde su primera aparición, cobró diversas víctimas de distintos sectores, desde empresas pequeñas hasta empresas más grandes, como lo es la empresa de manufactura alemana Stahl. Solo en el mes de octubre listó un total de 31 víctimas. [3]

Como es común en los grupos de ransomware actuales, Sarcoma utiliza tácticas de doble extorsión, exfiltrando la información de la víctima, acto seguido encripta los archivos y comienza con la extorsión diciendo que se pague una cantidad de dinero en un tiempo determinado, de lo contrario se filtrara la información en su página de filtraciones. [1]

Imagen del sitio de filtraciones de Sarcoma ransomware [3]

No es extraño que Sarcoma tenga listadas tantas víctimas en su sitio de filtraciones, ya que se trata de un ransomware sofisticado que emplea diversas técnicas para ganar acceso y comprometer organizaciones. A continuación, se detallan las diferentes técnicas para ganar acceso: [4]

• Ataques de phishing: Emails creados para obtener información y/o descargar archivos, haciéndose pasar por correos verídicos de la organización.
• Explotación de vulnerabilidades: Sarcoma busca vulnerabilidades en la organización para poder explotarlas y así poder infiltrarse dentro de esta.
• Explotación del puerto RDP (3389): Al ser un puerto muy inseguro, constantemente se está buscando explotar esta vulnerabilidad.
• Ataques a la cadena de suministro: Sarcoma tiene una preferencia para atacar cadenas de suministro para ganar acceso a una red más grande.
• Movimiento lateral: Una vez dentro de la red, se empieza a expandir lateralmente, comprometiendo más sistemas para un mayor impacto.
• Exfiltración de datos: Se exfiltran los datos de la organización para poder llevar a cabo sus tácticas de doble extorsión
• Encriptación fuerte: Este ransomware cuenta con una encriptación fuerte que ayuda a no ser eliminado sin la llave.

Indicadores de Compromiso:

 

IOC	TIPO
http://54yjkjwjqbm74nchm6o6b4l775ws2hgesdopus5jvo3jx6ftj7zn7mid.onion	TOR
http://55lfxollcks2pvxbtg73vrpl3i7x4jnnrxfl6al6viamwngqlu4cxgyd.onion/	TOR
http://6nwhpuwtf4onxvr7el5ycc4xwefhk4w6q6rbn23oe2ghax2x7nns3iad.onion	TOR
http://bi32pq7y3gqq3qacgvamnk2s2elnppvevqp325wtk2wo7vh2zavjcfid.onion	TOR
http://icmghe66zl4twvbv5g4h532mogcea44hrkxtotrlx6aia5jslnnbnxad.onion	TOR
http://iiobxrljnmjwb6l66bfvhin5zxbghbgiv6yamqpb4bezlrxd2vhetgyd.onion	TOR
http://lpp4aze237qkkursbtesd54ofag6te5i5lzpee5a3buhq4v3uwtxnlqd.onion	TOR
http://lyz3i74psw6vkuxdjhkyxzy3226775qpzs6oage4zw6qj66ppdxma2qd.onion	TOR
http://modre6n4hqm4seip2thhbjcfkcdcljhec7ekvd5qt7m7fhimpc2446qd.onion	TOR
http://nf5b6a4b4s623wfxkveibjmwwpqjm536t5tyrbtrw7vsdqepsdoejoad.onion	TOR
http://ngvvafvhfgwknj63ivqjqdxc7b5fyedo67zshblipo5a2zuair5t4nid.onion	TOR
http://pauppf2nuoqxwwqqshaehbkj54debl7bppacfm5h6z6zjoiejifezhad.onion	TOR
http://r3yes535gjsi2puoz2bvssl3ewygcfgwoji6wdk3grj3baexn2hha2id.onion	TOR
http://rs3icoalw6bdgedspnmt6vp2dzzuyqxtccezmta2g5mlyao64len7dyd.onion	TOR
http://sarcomawmawlhov7o5mdhz4eszxxlkyaoiyiy2b5iwxnds2dmb4jakad.onion	TOR

Taxonomía de ataque de MITTRE ATT&CK:

 

Tactica	ID de la tecnica	Nombre
Initial Access	T1190	Exploit public facing Aplication
	T1566	Phishing Technique
Execution	T1059.001	Comand and Scripting Interpreter: PowerShell
	T1129	Shared Modules
Persistance	T1053.003	Sheduled Task/job: Cron
	T1546.011	Event triggered Execution: Application Shimming
Privilege Escalation	T1068	Exploitation for privilege Escalation
Defense Evasion	T1055	Process Injection
	T1070	Indicator Removal
	T1574.002	Hijack Execution Flow: DLL Side-Loading
Discovery	T1018	Remote System Discovery
Command-and-Control	T1071	Application Layer Protocol
	T1105	Ingress Tool Transfer

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. RESCANA. (S.F.) Sarcoma Ransomware Exploits Zero-Day Vulnerability in Smart Media Group Bulgaria's Network. Recuperado el 11 de noviembre del 2024 en: https://www.rescana.com/post/sarcoma-ransomware-exploits-zero-day-vulnerability-in-smart-media-group-bulgaria-s-network
2. WATCHGUARD. (2024, Octubre 9) EasyPay Hit by Sarcoma Ransomware Attack. Recuperado el 11 de noviembre del 2024 en: https://ransomwareattacks.halcyon.ai/attacks/easypay-hit-by-sarcoma-ransomware-attack
3. RANSOMLOOK.IO (S.F.) Sarcoma. Recuperado el 11 de noviembre del 2024 en: https://www.ransomlook.io/group/sarcoma
4. RED PIRANHA (2024, Octubre 15) Threat Intelligence Report 8th October – 14th October. Recuperado el 11 de noviembre del 2024 en: https://redpiranha.net/news/threat-intelligence-report-october-8-october-14-2024

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios